Ciao a tutti, un consulente ha lanciato nessus[¹] della tenable, un tool
leader secondo loro per verificare le falle di sicurezza presenti in una
LAN, sulla nostra rete locale e fra le altre cose ha segnalato che su un
server con debian buster aggiornato ha ritrovato le seguenti falle di sicurezza:

Severity         CVSS v3.0         Plugin     Name

High         5.0         138098     Apache Tomcat 9.0.0.M1 < 9.0.36 DoS
High         5.0         138591     Apache Tomcat 9.0.0.M1 < 9.0.37
Multiple Vulnerabilities
High         5.0         147164     Apache Tomcat 9.0.0.M1 < 9.0.43
Multiple Vulnerabilities
High         5.0         144050     Apache Tomcat 9.x < 9.0.40
Information Disclosure
High         4.4         136806     Apache Tomcat 9.0.0 < 9.0.35 Remote
Code Execution
Medium         6.1         104743     TLS Version 1.0 Protocol Detection
Medium         5.0         152182     Apache Tomcat 9.0.0.M1 < 9.0.48 vulnerability
Medium         5.0         12085     Apache Tomcat Default Files
Medium         4.0         141446     Apache Tomcat 8.5.x < 8.5.58 /
9.0.x < 9.0.38 HTTP/2 Request Mix-Up

in effetti ho verificato e la versione in buster di Tomcat è 9.0.31 che
è minore della 9.0.36; poi sono andato a vedere i codici dei plugin di riferimento sul sito della tenable e ho trovato i seguenti:

https://www.tenable.com/plugins/nessus/138098 https://www.tenable.com/plugins/nessus/138591 https://www.tenable.com/plugins/nessus/147164 https://www.tenable.com/plugins/nessus/144050 https://www.tenable.com/plugins/nessus/136806

A questo punto sono andato a vedere cosa diceva debian sui CVE relativi:

https://security-tracker.debian.org/tracker/CVE-2020-11996 https://security-tracker.debian.org/tracker/CVE-2020-13935 https://security-tracker.debian.org/tracker/CVE-2021-25122 https://security-tracker.debian.org/tracker/CVE-2020-17527 https://security-tracker.debian.org/tracker/CVE-2020-9484

e in tutti i casi dice che il problema è stato risolto. A questo punto
credo che il problema sia nel plugin nessus...

Ve l'ho fatta forse troppo lunga e finalmente vengo al dunque: siccome
ho altri dubbi sul loro scanner esiste uno scanner libero che rilevi i
problemi di sicurezza dei devices in una LAN?

[¹] https://www.tenable.com/products/nessus/nessus-professional

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il giorno lun 20 set 2021 alle ore 11:55 Piviul <piviul@riminilug.it> ha scritto:

Ve l'ho fatta forse troppo lunga e finalmente vengo al dunque: siccome
ho altri dubbi sul loro scanner esiste uno scanner libero che rilevi i problemi di sicurezza dei devices in una LAN?

[¹] https://www.tenable.com/products/nessus/nessus-professional

Nessus era Open Source. Un suo diffuso fork mantenuto aggiornato è OpenVAS < https://www.openvas.org/>

--
Lorenzo Breda

<div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il giorno lun 20 set 2021 alle ore 11:55 Piviul &lt;<a href="mailto:piviul@riminilug.it" target="_blank">piviul@riminilug.it</a>&gt; ha scritto:<br></div><blockquote class="gmail_
quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Ve l&#39;ho fatta forse troppo lunga e finalmente vengo al dunque: siccome <br> ho altri dubbi sul loro scanner esiste uno scanner libero che rilevi i <br> problemi di sicurezza dei devices in una LAN?<br>

[¹] <a href="https://www.tenable.com/products/nessus/nessus-professional" rel="noreferrer" target="_blank">https://www.tenable.com/products/nessus/nessus-professional</a><br>

</blockquote></div><div><br></div><div>
Nessus era Open Source. Un suo diffuso fork mantenuto aggiornato è OpenVAS &lt;<a href="https://www.openvas.org/" target="_blank">https://www.openvas.org/</a>&gt;

</div><br>-- <br><div dir="ltr">Lorenzo Bre

On Mon, Sep 20, 2021 at 11:55:50AM +0200, Piviul wrote:

Ciao a tutti, un consulente ha lanciato nessus[¹] della tenable, un
tool leader secondo loro per verificare le falle di sicurezza presenti
in una LAN, sulla nostra rete locale e fra le altre cose ha segnalato
che su un server con debian buster aggiornato ha ritrovato le seguenti
falle di sicurezza:

Severity         CVSS v3.0         Plugin     Name

High         5.0         138098     Apache Tomcat 9.0.0.M1 < 9.0.36 DoS
High         5.0         138591     Apache Tomcat 9.0.0.M1 < 9.0.37
Multiple Vulnerabilities
High         5.0         147164     Apache Tomcat 9.0.0.M1 < 9.0.43
Multiple Vulnerabilities
High         5.0         144050     Apache Tomcat 9.x < 9.0.40
Information Disclosure
High         4.4         136806     Apache Tomcat 9.0.0 < 9.0.35
Remote Code Execution
Medium         6.1         104743     TLS Version 1.0 Protocol Detection

Almeno per quanto riguarda TLS, questa è una impostazione di Apache. https://tecadmin.net/enable-tls-in-modssl-and-apache/

Medium         5.0         152182     Apache Tomcat 9.0.0.M1 < 9.0.48 vulnerability
Medium         5.0         12085     Apache Tomcat Default Files
Medium         4.0         141446     Apache Tomcat 8.5.x < 8.5.58 /
9.0.x < 9.0.38 HTTP/2 Request Mix-Up

in effetti ho verificato e la versione in buster di Tomcat è 9.0.31
che è minore della 9.0.36; poi sono andato a vedere i codici dei
plugin di riferimento sul sito della tenable e ho trovato i seguenti:

https://www.tenable.com/plugins/nessus/138098 https://www.tenable.com/plugins/nessus/138591 https://www.tenable.com/plugins/nessus/147164 https://www.tenable.com/plugins/nessus/144050 https://www.tenable.com/plugins/nessus/136806

A questo punto sono andato a vedere cosa diceva debian sui CVE relativi:

https://security-tracker.debian.org/tracker/CVE-2020-11996 https://security-tracker.debian.org/tracker/CVE-2020-13935 https://security-tracker.debian.org/tracker/CVE-2021-25122 https://security-tracker.debian.org/tracker/CVE-2020-17527 https://security-tracker.debian.org/tracker/CVE-2020-9484

e in tutti i casi dice che il problema è stato risolto. A questo punto
credo che il problema sia nel plugin nessus...

Ve l'ho fatta forse troppo lunga e finalmente vengo al dunque: siccome
ho altri dubbi sul loro scanner esiste uno scanner libero che rilevi i problemi di sicurezza dei devices in una LAN?

[¹] https://www.tenable.com/products/nessus/nessus-professional

Saluti
--

Felipe Salvador

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Il 20/09/21 12:59, Lorenzo Breda ha scritto:

Il giorno lun 20 set 2021 alle ore 11:55 Piviul <piviul@riminilug.it <mailto:piviul@riminilug.it>> ha scritto:

Ve l'ho fatta forse troppo lunga e finalmente vengo al dunque:
siccome
ho altri dubbi sul loro scanner esiste uno scanner libero che
rilevi i
problemi di sicurezza dei devices in una LAN?

[¹] https://www.tenable.com/products/nessus/nessus-professional
<https://www.tenable.com/products/nessus/nessus-professional>

Nessus era Open Source. Un suo diffuso fork mantenuto aggiornato è
OpenVAS <https://www.openvas.org/ <https://www.openvas.org/>>

ho dato un'occhiata e non ci ho capito un gran che... la community
version è la trial version? Esistono solo le immagini per virtualbox e
vmware? qualcuno in internet parla di una live iso ma credo non la
facciano più... :(

Grazie!

Piviul


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<div class="moz-cite-prefix">Il 20/09/21 12:59, Lorenzo Breda ha
scritto:<br>
</div>
<blockquote type="cite" cite="mid:CAEhHO_O-Of-BRAQTL=giLPGpEw6ZE+DMH0tazN0v7s_fH37KOw@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Il giorno lun 20 set 2021
alle ore 11:55 Piviul &lt;<a
href="mailto:piviul@riminilug.it" target="_blank"
moz-do-not-send="true">piviul@riminilug.it</a>&gt; ha
scritto:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">
Ve l'ho fatta forse troppo lunga e finalmente vengo al
dunque: siccome <br>
ho altri dubbi sul loro scanner esiste uno scanner libero
che rilevi i <br>
problemi di sicurezza dei devices in una LAN?<br>
<br>
[¹] <a
href="https://www.tenable.com/products/nessus/nessus-professional"
rel="noreferrer" target="_blank" moz-do-not-send="true">https://www.tenable.com/products/nessus/nessus-professional</a><br>
<br>
</blockquote>
</div>
<div><br>
</div>
<div>
Nessus era Open Source. Un suo diffuso fork mantenuto
aggiornato è OpenVAS &lt;<a href="https://www.openvas.org/"
target="_blank" moz-do-not-send="true">https://www.openvas.org/</a>&gt;
</div>
</div>
</blockquote>
<p>ho dato un'occhiata e non ci ho capito un gran che... la
community version è la trial version? Esistono solo le immagini
per virtualbox e vmware? qualcuno in internet parla di una live
iso ma credo non la facciano più... :(</p>
<p>Grazie!<br>
</p>
<p>Piviul<br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il Lun 20 Set 2021, 16:10 Piviul <piviul@riminilug.it> ha scritto:

Il giorno lun 20 set 2021 alle ore 11:55 Piviul <pivi
<piviul@riminilug.it>
Nessus era Open Source. Un suo diffuso fork mantenuto aggiornato è OpenVAS <https://www.openvas.org/>

ho dato un'occhiata e non ci ho capito un gran che... la community version
è la trial version? Esistono solo le immagini per virtualbox e vmware? qualcuno in internet parla di una live iso ma credo non la facciano più... :(

Oggi ho trovato questo, pare il successore:

https://packages.debian.org/sid/gvm


hth
Giuliano

<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il Lun 20 Set 2021, 16:10 Piviul &lt;<a href="mailto:piviul@riminilug.it">piviul@riminilug.it</a>&gt; ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">



<div>
<div></div></div></blockquote></div></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div></div></div></blockquote></div></div><div dir="auto"><
div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div></div></div></blockquote></div></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="
gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><br>
</div>
<blockquote type="cite">

<div dir="ltr">
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Il giorno lun 20 set 2021
alle ore 11:55 Piviul &lt;<a href="mailto:piviul@riminilug.it" target="_blank" rel="noreferrer">pivi</a></div></div>
<div>
Nessus era Open Source. Un suo diffuso fork mantenuto
aggiornato è OpenVAS &lt;<a href="https://www.openvas.org/" target="_blank" rel="noreferrer">https://www.openvas.org/</a>&gt;
</div>
</div>
</blockquote>
<p>ho dato un&#39;occhiata e non ci ho capito un gran che... la
community version è la trial version? Esistono solo le immagini
per virtualbox e vmware? qualcuno in internet parla di una live
iso ma credo non la facciano più... :(</p></div></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Oggi ho trovato questo, pare il successore:</div><div dir="auto"><br></div><div dir="auto"><a href="https://packages.debian.org/sid/
gvm">https://packages.debian.org/sid/gvm</a></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">hth</div><div dir="auto">Giuliano</div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Il 20/09/21 16:18, Giuliano Grandin ha scritto:

Il Lun 20 Set 2021, 16:10 Piviul <piviul@riminilug.it <mailto:piviul@riminilug.it>> ha scritto:

Il giorno lun 20 set 2021 alle ore 11:55 Piviul <pivi
<mailto:piviul@riminilug.it>
Nessus era Open Source. Un suo diffuso fork mantenuto aggiornato
è OpenVAS <https://www.openvas.org/ <https://www.openvas.org/>>

ho dato un'occhiata e non ci ho capito un gran che... la community
version è la trial version? Esistono solo le immagini per
virtualbox e vmware? qualcuno in internet parla di una live iso ma
credo non la facciano più... :(

Oggi ho trovato questo, pare il successore:

https://packages.debian.org/sid/gvm <https://packages.debian.org/sid/gvm>

grazie Giuliano... il fatto è che sia gvm che openvas in testing non
sono nei repositories standard e in stable dipendono da librerie più
recenti di quelle presenti... tu sei riuscito ad installarlo e a farlo funzionare?

Grazie

Piviul


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix">Il 20/09/21 16:18, Giuliano Grandin ha
scritto:<br>
</div>
<blockquote type="cite" cite="mid:CANu=P6YTBkmyzVOq_yVsSomPyUrLRO+kkZh2N3eTGms3kxMPEg@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="auto">
<div>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Il Lun 20 Set 2021, 16:10
Piviul &lt;<a href="mailto:piviul@riminilug.it"
moz-do-not-send="true">piviul@riminilug.it</a>&gt; ha
scritto:<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div> </div>
</blockquote>
</div>
</div>
<div dir="auto"><br>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>
<div><br>
</div>
<blockquote type="cite">
<div dir="ltr">
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Il giorno lun 20
set 2021 alle ore 11:55 Piviul &lt;<a
href="mailto:piviul@riminilug.it"
target="_blank" rel="noreferrer"
moz-do-not-send="true">pivi</a></div>
</div>
<div> Nessus era Open Source. Un suo diffuso fork
mantenuto aggiornato è OpenVAS &lt;<a
href="https://www.openvas.org/" target="_blank"
rel="noreferrer" moz-do-not-send="true">https://www.openvas.org/</a>&gt;
</div>
</div>
</blockquote>
<p>ho dato un'occhiata e non ci ho capito un gran che...
la community version è la trial version? Esistono solo
le immagini per virtualbox e vmware? qualcuno in
internet parla di una live iso ma credo non la
facciano più... :(</p>
</div>
</blockquote>
</div>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">Oggi ho trovato questo, pare il successore:</div>
<div dir="auto"><br>
</div>
<div dir="auto"><a href="https://packages.debian.org/sid/gvm"
moz-do-not-send="true">https://packages.debian.org/sid/gvm</a></div>
</div>
</blockquote>
<p>grazie Giuliano... il fatto è che sia gvm che openvas in testing
non sono nei repositories standard e in stable dipendono da
librerie più recenti di quelle presenti... tu sei riuscito ad
installarlo e a farlo funzionare?</p>
<p>Grazie</p>
<p>Piviul<br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 20/09/21 11:55, Piviul wrote:

esiste uno scanner libero che rilevi i
problemi di sicurezza dei devices in una LAN?

per lan non so, ma se sei su una macchina Debian puoi usare debsecan

Volendo, se tutte le macchine sono Debian puoi fare uno script che lo
esegue su ognuna e poi ti manda i risultati.

È uno strumento "statico" che ti mostra le vulnerabilità riscontrate nei pacchetti installati e non eventuali configurazioni/abilitazioni personalizzate che possono aver tolto o introdotto delle vulnerabilità.
Tieni conto che poi la vulnerabilità si "manifesta", di solito, solo in determinati usi/casi che possono non riguardarti.
In altri casi può essere che il pacchetto non abbia vulnerabilità, ma è
il modo in cui lo hai configurato/esposto/... che determina una
vulnerabilità non intrinseca nel pacchetto.

Inoltre c'è da tenere in conto una cosa interessante: le segnalazioni di vulnerabilità, che poi creano i CVE, sono create da terze parti rispetto
agli sviluppatori upstream. Questo fa si, in alcuni casi, che una vulnerabilità, ritenuta tale da tali terzi, sia ritenuta non valida a
livello upstream e quindi non venga mai "sanata".

Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
$
Perché microsoft continua a compiere azioni illegali?: http://linguistico.sf.net/wiki/doku.php?id=traduzioni:ms_illegal
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 20/09/21 17:02, Piviul wrote:

Il 20/09/21 16:18, Giuliano Grandin ha scritto:

https://packages.debian.org/sid/gvm <https://packages.debian.org/sid/gvm>

grazie Giuliano... il fatto è che sia gvm che openvas in testing non
sono nei repositories standard e in stable dipendono da librerie più recenti di quelle presenti... tu sei riuscito ad installarlo e a farlo funzionare?

lo hanno tolto da testing prima che diventasse stable per la politica
usata negli aggiornamenti upstream che lo rende non distribuibile in una
Debian stable

vedi:
$ querybts 986531

Ciao
Davide
--
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il Lun 20 Set 2021, 17:13 Piviul <piviul@riminilug.it> ha scritto:

....

grazie Giuliano... il fatto è che sia gvm che openvas in testing non sono

nei repositories standard e in stable dipendono da librerie più recenti di quelle presenti... tu sei riuscito ad installarlo e a farlo funzionare?

No, non ho ancora fatto niente, non ha una priorità molto alta, anche se
c'è ...

Giuliano

<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il Lun 20 Set 2021, 17:13 Piviul &lt;<a href="mailto:piviul@riminilug.it">piviul@riminilug.it</a>&gt; ha scritto:</div><div dir="ltr" class="gmail_attr"><br></div><
blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"></div></blockquote></div></div><div dir="auto">....</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote
class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">grazie Giuliano... il fatto è che sia gvm che openvas in testing
non sono nei repositories standard e in stable dipendono da
librerie più recenti di quelle presenti... tu sei riuscito ad
installarlo e a farlo funzionare?<br></div></blockquote></div></div><div dir="auto"><br></div><div dir="auto">No, non ho ancora fatto niente, non ha una priorità molto alta, anche se c&#39;è ...</div><div dir="auto"><br></div><div dir="auto">
Giuliano</div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 20/09/21 21:30, Davide Prina ha scritto:

On 20/09/21 11:55, Piviul wrote:

esiste uno scanner libero che rilevi i problemi di sicurezza dei
devices in una LAN?

per lan non so, ma se sei su una macchina Debian puoi usare debsecan

Volendo, se tutte le macchine sono Debian puoi fare uno script che lo
esegue su ognuna e poi ti manda i risultati.

È uno strumento "statico" che ti mostra le vulnerabilità riscontrate
nei pacchetti installati e non eventuali configurazioni/abilitazioni personalizzate che possono aver tolto o introdotto delle vulnerabilità.
Tieni conto che poi la vulnerabilità si "manifesta", di solito, solo
in determinati usi/casi che possono non riguardarti.
In altri casi può essere che il pacchetto non abbia vulnerabilità, ma
è il modo in cui lo hai configurato/esposto/... che determina una vulnerabilità non intrinseca nel pacchetto.

Inoltre c'è da tenere in conto una cosa interessante: le segnalazioni
di vulnerabilità, che poi creano i CVE, sono create da terze parti
rispetto agli sviluppatori upstream. Questo fa si, in alcuni casi, che
una vulnerabilità, ritenuta tale da tali terzi, sia ritenuta non
valida a livello upstream e quindi non venga mai "sanata".

Grazie Davide, considerazioni interessanti...

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 22/09/21 08:40, Piviul wrote:

Il 20/09/21 21:17, Davide Prina ha scritto:

lo hanno tolto da testing prima che diventasse stable per la politica
usata negli aggiornamenti upstream che lo rende non distribuibile in
una Debian stable

vedi:
$ querybts 986531

grazie Davide, quindi da quel che si legge non si ha proprio speranze di utilizzarlo...

potrebbe essere che lo facciano arrivare in testing e poi se il problema persiste lo ritoglieranno quando l'attuale testing si prepara a
diventare la prossima stable

l'unica speranza forse sarebbe prenderlo da sid.

puoi benissimo aggiungere i repository di unstable in sources.list
e poi fai il pinning in /etc/apt/preferences in modo che di default
prende sempre tutti i pacchetti da testing, mentre da unstable li prende
solo se durante l'installazione lo indichi esplicitamente

qualcosa del genere:

Package: *
Pin: release a=testing
Pin-Priority: 990

Package: *
Pin: release a=unstable
Pin-Priority: 400

Ciao
Davide
--
Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo
Non autorizzo la memorizzazione del mio indirizzo su outlook

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)